ISGroup Conseil en Cybersécurité

Comment la directive NIS2 affecte-t-elle les entreprises internationales opérant dans l’UE ?

La directive NIS2 a des implications significatives pour les entreprises internationales opérant au sein de l’UE, imposant des obligations et des responsabilités en matière de cybersécurité à celles qui entrent dans son champ d’application.

[Callforaction-NIS2]

Voici un aperçu :

1. Champ d’application et critères d’inclusion élargis

  • La NIS2 élargit considérablement la gamme des secteurs et entités soumis à ses dispositions, allant au-delà de l’objectif de la directive NIS originale pour inclure des secteurs jugés critiques en raison de leur niveau de numérisation et de leur interconnexion avec l’économie et la société de l’UE.
  • Les entreprises internationales opérant dans des secteurs tels que l’énergie, les transports, la santé, les infrastructures numériques et d’autres énumérés dans les annexes I et II de la directive doivent évaluer si elles entrent dans le champ d’application en fonction de leurs activités et de leur taille.
  • Une modification fondamentale est l’introduction d’un seuil dimensionnel. Toutes les entreprises de taille moyenne et grande dans les secteurs spécifiés entrent dans le champ d’application de la NIS2. Cela signifie que les entreprises internationales, quel que soit leur siège social, doivent se conformer si elles remplissent les critères dimensionnels pour leur secteur au sein de l’UE.
  • La directive permet également aux États membres d’identifier des entités plus petites présentant des profils de risque élevés qui doivent respecter ses obligations. Cette disposition offre aux autorités nationales une flexibilité pour traiter des risques de cybersécurité spécifiques.

2. Juridiction et principe de l’”établissement principal”

  • Pour la plupart des entités, la juridiction de la NIS2 relève de l’État membre dans lequel elles sont établies. Si elles sont établies dans plusieurs États membres, chacun de ces pays a juridiction, ce qui nécessite une coopération et des actions de supervision potentielles conjointes de la part des autorités respectives.
  • Cependant, certaines entreprises internationales fournissant des services numériques transfrontaliers relèvent de la juridiction de l’État membre où se trouve leur “établissement principal” dans l’UE. Cela inclut les fournisseurs de systèmes de noms de domaine, les services de cloud computing, les centres de données, les réseaux de diffusion de contenu (CDN), les places de marché en ligne, les moteurs de recherche et les plateformes de réseaux sociaux.
  • Pour garantir la clarté, ces entreprises doivent notifier aux autorités compétentes leur établissement principal ainsi que leurs autres sièges sociaux au sein de l’UE. Si elles ne possèdent pas d’unité dans l’UE, elles doivent désigner un représentant au sein de l’UE, dont les informations doivent être fournies aux autorités. Cette disposition vise à simplifier la conformité pour ces entreprises, en leur évitant de devoir faire face à un ensemble complexe de réglementations nationales différentes.

3. Gestion du risque de cybersécurité et signalement des incidents

  • La NIS2 impose aux entreprises entrant dans son champ d’application de mettre en œuvre des mesures techniques, opérationnelles et organisationnelles adéquates pour gérer les risques de cybersécurité relatifs à leurs systèmes de réseau et d’information. Cette approche fondée sur le risque exige une stratégie de cybersécurité complète et adaptée aux risques spécifiques auxquels l’entreprise est confrontée.
  • La directive fournit une liste de dix éléments de sécurité essentiels que les entreprises doivent traiter, notamment la gestion des incidents, la sécurité de la chaîne d’approvisionnement, la gestion et la divulgation des vulnérabilités, et l’utilisation de la cryptographie. Ces éléments constituent une base pour les pratiques de cybersécurité que toutes les entreprises assujetties doivent respecter.
  • Les entreprises internationales doivent établir des mécanismes robustes de signalement des incidents. Elles doivent notifier rapidement à leur CSIRT national ou à l’autorité compétente tout incident de cybersécurité significatif ayant un impact sur leurs opérations dans l’UE. Cela inclut les incidents qui interrompent significativement la fourniture de services ou qui peuvent avoir un impact sur d’autres entités, causant des dommages matériels ou immatériels substantiels.
  • La directive prévoit un processus de signalement en deux étapes : un “avis préliminaire” suivi d’un rapport plus détaillé dans les 72 heures, incluant des informations sur l’impact de l’incident, les mesures d’atténuation et les stratégies de prévention future. Ce cadre de signalement standardisé facilite une réponse rapide et la collaboration transfrontalière sur les incidents de cybersécurité.

4. Focus sur la sécurité de la chaîne d’approvisionnement

  • La NIS2 met l’accent sur la sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs, exigeant des entreprises qu’elles traitent les risques de cybersécurité au sein de ces écosystèmes. Cela inclut l’évaluation de la posture de sécurité des fournisseurs critiques et la mise en œuvre de contrôles appropriés pour atténuer les risques.
  • Cette exigence souligne la nature interconnectée de la cybersécurité et la responsabilité partagée dans l’atténuation des risques. Les entreprises internationales doivent évaluer attentivement leurs chaînes d’approvisionnement au sein de l’UE et garantir l’alignement avec les exigences de la NIS2.

5. Application rigoureuse et sanctions harmonisées

  • La directive confère aux autorités nationales des pouvoirs de supervision et d’application renforcés. Cela inclut la conduite d’audits et d’inspections réguliers, l’émission d’instructions contraignantes, l’imposition d’amendes et l’adoption d’actions correctives.
  • La NIS2 introduit un cadre de sanctions harmonisé entre les États membres pour garantir une application cohérente et efficace. Cela inclut des sanctions financières significatives, en particulier pour les entités essentielles, qui peuvent faire face à des amendes allant jusqu’à 10 000 000 € ou 2 % du chiffre d’affaires annuel mondial.
  • Ces mécanismes d’application rigoureux soulignent le sérieux avec lequel l’UE considère la cybersécurité et la nécessité d’une conformité stricte de la part des entreprises internationales opérant à l’intérieur de ses frontières. En Italie, l’ACN a défini les échéances et les modalités d’inscription à la liste NIS2 pour les sujets obligés.

6. Implications au-delà de l’applicabilité directe

  • Bien que la NIS2 s’adresse principalement aux moyennes et grandes entreprises, son impact s’étend indirectement aux PME. Les entreprises plus grandes soumises à la directive sont incitées à garantir que leurs chaînes d’approvisionnement respectent les normes de cybersécurité requises, poussant les PME à améliorer leur posture de cybersécurité pour maintenir leurs relations commerciales.
  • De plus, des ressources comme la base de données européenne des vulnérabilités, établie et maintenue par l’ENISA, offrent des avantages à toutes les parties prenantes, y compris les PME, en fournissant de précieuses informations sur les menaces et en promouvant de meilleures pratiques de gestion des vulnérabilités.

Que faire si votre entreprise entre dans le champ d’application de la NIS2

Les entreprises internationales opérant dans l’UE doivent analyser attentivement leurs obligations découlant de la directive et entamer un parcours structuré d’adaptation. Comprendre quel est l’objectif principal de la directive NIS2 est le point de départ pour définir correctement les priorités. Ceux qui ont déjà identifié leur périmètre d’applicabilité peuvent évaluer un parcours de conformité à la NIS2 couvrant l’analyse des risques, les mesures techniques et organisationnelles, ainsi que la gestion des incidents.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *